ISO27002_2022 信息安全管理体系中文版.pdfVIP

ISO/IECJTC1SC27

信息技术网络安全与隐私保护信息安全控制

ISO/IEC27002:2022

(中文版0-5部分)

翻译：闲庭信步

2022年7月

前言

ISO(国际标准化组织)和IEC(国际电工委员会)构成了全球标准化的专门系统。属于ISO或

IEC的国家机构通过各自组织成立的技术委员会参与国际标准的制定，以处理特定的技术

活动领域。ISO和IEC技术委员会在共同感兴趣的领域进行合作。其他与ISO和IEC联络的

政府和非政府国际组织也参加了这项工作。在信息技术领域，ISO和IEC建立了联合技术

委员会ISO/IECJTC1。

ISO/IEC指令第1部分中描述了用于开发本文档的过程以及打算进一步维护的过程。特别

是，应注意不同类型文档所需的不同批准标准。本文档是根据ISO/IEC指令第2部分的编

辑规则起草的(请参见/directives)。

请注意，本文档的某些内容可能是专利权的主题。ISO和IEC对识别任何或所有此类专利

权概不负责。在文档开发过程中确定的任何专利权的详细信息将在“简介”和/或ISO收到的

专利声明清单中(请参见/patents)。

本文档中使用的任何产品名称都是为了方便用户而提供的信息，并不构成对本产品的认

可。

有关标准的自愿性质的解释，与合格评定有关的ISO特定术语和表达的含义，以及有关

ISO遵守《技术性贸易壁垒(TBT)中的世界贸易组织(WTO)原则》的信息，请参见

/iso/foreword.html。

本文档由ISO/IECJTC1技术委员会，信息技术，SC27小组，信息安全，网络安全和隐

私保护委员会编写。

第三版取消并替代了经过技术修订的第二版(ISO/IEC27002:2013+Corr1:2014+Corr2

:2015)。

与上一版本相比的主要变化如下：

“实务守则”一词已从本文件的标题中删除，以更好地反映其作为一套信息安全控制参考的

目的。这不是目的的改变。ISO/IEC27002的意图一直是帮助组织确保不忽视任何必要的

控制。无论本文档的预期用途如何，此目的都是相同的(见第1条)。尽管有这一声明，但

对个别控制的指导是基于国际公认的最佳做法。

作为参考集的目的是通过确保全面涵盖可以描述信息安全控制的各种方式来实现的。根

据设计，这会导致0.3中提到的重叠和重复。因此，文档的限制已更改，使用简单的分类

和关联的属性显示控件。

一些控件已合并，一些已删除，并引入了几个新控件。完整的信息可在附件A、附件B中

找到。有关本文档的任何反馈或问题应直接提交给用户的国家标准机构。这些机构的完

整清单可在以下网址查阅：/members.html。

0介绍

0.1背景和环境

本文档适用于各种类型和规模的组织，可以用作确定和实施基于ISO/IEC27001的信息安

全管理系统(ISMS)中信息安全风险处理控制的参考。组织确定和实施公认的信息安全控

制措施的指导文件。考虑到其特定的信息安全风险环境，本文档还打算用于开发行业和

特定于组织的信息安全管理指南。可以通过风险评估来确定除本文档中所包含的组织或

环境以外的组织特定控制措施以修改风险。

各种类型和规模的组织(包括公共和私营部门，商业和非营利组织)以多种形式创建，收

集，处理，存储，传输和处置信息，包括电子形式，物理形式和口头表达(例如对话和演

示)。

信息的价值超越了文字，数字和图像：知识，概念，思想和品牌是无形信息形式的示

例。在相互联系的世界中，信息和其他关联资产(如其他重要的商业利益)应受到保护或要

求保护免受各种自然，偶然或故意的风险来源的侵害。

0.2信息安全需求

组织确定其安全性要求至关重要。安全性要求有三个主要来源：

a)评估组织的风险，并考虑组织的整体业务战略和目标。可以通过信息安全特定的风险

评估来促进或支持这一点。这应导致确定必要的控制措施，以确保组织的剩余风险满足

其风险接受标准；

b)组织及其利益相关方(交易伙伴，服务提供商等)必须遵守的法律，法规，规范和合同

要求及其社会文化环境；

c)组织为支持其运营而开发的信息生命周期的所有步骤的一组原则，目标和业务要求。

注：ISO/IEC27005提供了信息安全风险管理指南，包括有关风险评估，风险